Σήμερα, ο Ivanti προειδοποίησε για δύο ακόμη τρωτά σημεία που επηρεάζουν
τι
ς πύλες Connect Secure, Policy Secure και ZTA, ένα από τα οποία είναι ένα bug μηδενικής ημέρας που ήδη βρίσκεται υπό ενεργή εκμετάλλευση.
Το ελάττωμα
zero-day
(CVE-2024-21893) είναι μια ευπάθεια πλαστογραφίας αιτημάτων από την πλευρά του διακομιστή στο στοιχείο SAML των πυλών που επιτρέπει στους εισβολείς να παρακάμπτουν τον έλεγχο ταυτότητας και να έχουν πρόσβαση σε περιορισμένους πόρους σε ευάλωτες συσκευές.
Ένα δεύτερο ελάττωμα (CVE-2024-21888) στο στοιχείο ιστού των πυλών επιτρέπει στους φορείς απειλών να κλιμακώνουν τα προνόμια σε αυτά ενός διαχειριστή.
“Στο πλαίσιο της συνεχιζόμενης έρευνάς μας για τα τρωτά σημεία που αναφέρθηκαν στις 10 Ιανουαρίου στις πύλες Ivanti Connect Secure, Ivanti Policy Secure και ZTA, ανακαλύψαμε νέες ευπάθειες. Αυτές οι ευπάθειες επηρεάζουν όλες τις υποστηριζόμενες εκδόσεις – Έκδοση 9.x και 22.x”, η Εταιρία
είπε σήμερα
.
“Δεν έχουμε στοιχεία για τυχόν επηρεασμούς πελατών από το CVE-2024-21888 αυτήν τη στιγμή. Γνωρίζουμε μόνο έναν μικρό αριθμό πελατών που έχουν επηρεαστεί από το CVE-2024-21893 αυτήν τη στιγμή.”
«Είναι κρίσιμο να αναλάβετε αμέσως δράση για να διασφαλίσετε ότι είστε πλήρως προστατευμένοι», προειδοποίησε ο Ιβάντι.
Η Ivanti κυκλοφόρησε ενημερώσεις κώδικα ασφαλείας για την αντιμετώπιση και των δύο ελαττωμάτων για ορισμένες επηρεαζόμενες εκδόσεις ZTA και Connect Secure και
παρέχει οδηγίες μετριασμού
για συσκευές που ακόμα περιμένουν ενημέρωση κώδικα.
Επιδιορθώσεις για δύο ακόμη ενεργά μηδενικές ημέρες
Η εταιρεία επίσης
κυκλοφόρησε μπαλώματα
σήμερα για δύο άλλες μηδενικές ημέρες που αποκαλύφθηκαν στις αρχές Ιανουαρίου—μια παράκαμψη ελέγχου ταυτότητας (CVE-
2023
-46805) και μια έγχυση εντολών (CVE-2024-21887)—αλυσοδεμένη σε εκτεταμένες επιθέσεις για την ανάπτυξη κακόβουλου λογισμικού σε ευάλωτες πύλες ICS, IPS και ZTA από τις 11 Ιανουαρίου.
Ελεύθερος και ο Ιβάντι
μέτρα μετριασμού
να μπλοκάρει τις προσπάθειες επίθεσης και
οδηγίες ανάκτησης
έχουν σχεδιαστεί για να βοηθούν στην αποκατάσταση των παραβιασμένων συσκευών και στην επαναφορά τους στο διαδίκτυο.
Η πλατφόρμα παρακολούθησης απειλών Shadowserver παρακολουθεί αυτήν τη στιγμή
περισσότερες από 24.700 πύλες ICS VPN που εκτίθενται στο Διαδίκτυο
,
πάνω από 7.200
στις Ηνωμένες Πολιτείες (βλέπει επίσης ο Shodan
πάνω από 22.000
Ivanti ICS VPN που εκτίθενται στο διαδίκτυο).
Shadowserver
παρακολουθεί επίσης
των παραβιασμένων περιπτώσεων Ivanti VPN παγκοσμίως καθημερινά, με
περισσότερες από 460 παραβιασμένες συσκευές
ανακαλύφθηκε μόνο στις 30 Ιανουαρίου.
Διαδίκτυο
(Shodan)
Η CISA εξέδωσε επίσης την πρώτη οδηγία έκτακτης ανάγκης του 2024 (ED 24-01), δίνοντας εντολή στις ομοσπονδιακές υπηρεσίες να μετριάσουν αμέσως τα ελαττώματα CVE-2023-46805 και CVE-2024-21887 Ivanti zero-day ως απάντηση στη μαζική εκμετάλλευση από πολλαπλούς παράγοντες απειλών.
Όταν συνδέονται με αλυσίδα, οι δύο μηδενικές ημέρες επιτρέπουν στους εισβολείς να κινούνται πλευρικά μέσα στα δίκτυα των θυμάτων, να κλέβουν δεδομένα και να δημιουργούν μόνιμη πρόσβαση αναπτύσσοντας κερκόπορτες.
Ο κατάλογος των θυμάτων που έχουν ανακαλυφθεί μέχρι στιγμής περιλαμβάνει κυβερνητικούς και στρατιωτικούς οργανισμούς παγκοσμίως, εθνικές εταιρείες τηλεπικοινωνιών και αμυντικούς εργολάβους, καθώς και τραπεζικούς, χρηματοοικονομικούς και λογιστικούς οργανισμούς και εταιρείες αεροδιαστημικής, αεροπορίας και τεχνολογίας.
Όλα ποικίλλουν σημαντικά σε μέγεθος, από μικρές επιχειρήσεις έως μερικούς από τους μεγαλύτερους πολυεθνικούς ομίλους ετερογενών δραστηριοτήτων, συμπεριλαμβανομένων πολλών εταιρειών του Fortune 500 από διάφορους κλάδους της βιομηχανίας.
Η Mandiant βρήκε πέντε προσαρμοσμένα στελέχη κακόβουλου λογισμικού που αναπτύσσονται σε αυτές τις εκτεταμένες επιθέσεις που βοηθούν τους παράγοντες απειλών να κλέψουν διαπιστευτήρια, να αναπτύξουν webshells και να απορρίψουν επιπλέον κακόβουλα ωφέλιμα φορτία.
Volexity
και
GreyNoise
έχουν επίσης παρατηρήσει επιτιθέμενους να αναπτύσσουν εξορύκτες κρυπτονομισμάτων XMRig και ωφέλιμα φορτία κακόβουλου λογισμικού που βασίζονται σε Rust σε συστήματα ορισμένων θυμάτων που έχουν παραβιαστεί.
VIA:
bleepingcomputer.com
